• Faglig nyhed
  • 07. juli 2017

Artikel 29-gruppen: Ny udtalelse om behandling af oplysninger om medarbejderne

Artikel 29-gruppen har offentliggjort en ny udtalelse om arbejdsgiveres behandling af personoplysninger om medarbejdere. Gruppen udtaler blandt andet, at medarbejderes samtykke til arbejdsgiverens behandling af personoplysninger ikke i alle tilfælde er gyldigt og bør begrænses mest muligt.

Den 8. juni 2017 har Artikel 29-gruppen i en ny udtalelse revurderet sit syn på arbejdsgiverens behandling af medarbejderes personoplysninger. Udtalelsen har betydning for fortolkningen og anvendelsen af både den nugældende persondatalov og den kommende forordning.

Den nye udtalelse
Med udtalelsen fremsætter Artikel 29-gruppen igen en række principper for databehandling fra 2001, og som også kan udledes af forordningens Artikel 5. Herefter bør arbejdsgivere:

  • Sikre, at oplysninger kun bliver behandlet til specifikke og legitime formål, som er nødvendige og proportionale,
  • tage princippet om formålsbegrænsning med i deres overvejelser og sikre, at oplysninger er korrekte, relevante og ikke uforholdsmæssige i forhold til formålet,
  • anvende principperne om proportionalitet og saglighed uafhængigt af hjemmelsgrundlaget,
  • være transparente i anvendelsen af overvågning af medarbejdere,
  • gøre det muligt for medarbejdere at gøre brug af deres rettigheder som registrerede, såsom ret til indsigt, berigtigelse, sletning og blokering af oplysninger,
  • sørge for, at oplysninger er ajourførte og ikke opbevares i længere tid end nødvendigt, og
  • foretage alle nødvendige foranstaltninger for at beskytte oplysninger mod uautoriseret adgang og sikre, at medarbejdere er tilstrækkeligt informerede om krav til databeskyttelse.

Artikel 29-gruppen understreger yderligere de særlige risici, som anvendelse af moderne teknologier på arbejdspladsen indebærer, så som Data Loss Prevention værktøj, wearable devices, Mobile Device Management og behovet for, at arbejdsgivere foretager en sagligheds- og proportionalitetsvurdering, inden indførelsen af sådanne teknologier.
Derudover er udtalelsens hovedpunkter:

  • ArbejdstagerbegrebetAlle, der arbejder på arbejdspladsen, er omfattet af arbejdstagerbegrebet i en persondataretlig sammenhæng, uanset om de har en ansættelseskontrakt eller ej. Det betyder, at også freelancere og konsulenter kan være omfattet af begrebet.
  • Medarbejderens samtykke: En medarbejders samtykke i ansættelsesforhold er kun gyldigt, hvis der ikke er konsekvenser knyttet til afgivelsen af det.
  • Beskyttelse af medarbejderens kommunikation: Indhold fra digital kommunikation nyder samme grundlæggende ret til beskyttelse som indhold fra analog kommunikation. E-mails og almindelige breve nyder således den samme beskyttelse.
  • Overvågning: Overvågning af medarbejdere må ikke ske, hvis formålet med overvågning kan opnås med en mindre indgribende foranstaltning. Ved overvågning skal medarbejderen oplyses, at selve overvågningen foregår samt formålet med den.
  • Sletning af medarbejderoplysningerArbejdsgivere skal slette personoplysninger om en medarbejder, så snart informationen ikke længere er nødvendig.
  • Cloud-løsninger: Brug af cloud-løsninger medfører ofte, at medarbejderoplysninger bliver overført til tredjelande uden for EU. Arbejdsgiveren bør derfor sørge for digitale ”sikre rum” til medarbejderne, såsom et fil-drev eller lignende, som arbejdsgiveren ikke har adgang til.

Samtykke i ansættelsesforhold 
Samtykket har indtil nu være meget brugt som hjemmel til behandling af personoplysninger i ansættelsesforhold, hvilket Artikel 29-gruppen endnu engang ønsker at gøre op med. 

Artikel 29-gruppen mener, at samtykke højst sandsynligt ikke kan udgøre hjemmelsgrundlaget for behandling af personoplysninger i et ansættelsesforhold, med mindre medarbejderen kan nægte af afgive samtykke, uden at det får negative konsekvenser for medarbejderen.  Baggrunden for dette synspunkt er, at medarbejderen er i et afhængighedsforhold til arbejdsgiveren, og at medarbejderens beslutning om at afgive samtykke kan være påvirket af en frygt for konsekvenserne af ikke at afgive samtykket. Artikel 29-gruppen mener altså, at samtykket i så fald ikke er frivilligt afgivet, hvilket er et krav efter både persondataloven og den kommende forordning. Fremover vil et samtykke derfor kun være gyldigt, hvis medarbejderen uden konsekvenser kan nægte at afgive det.  

Behandling af personoplysninger kan dog stadig finde sted uden samtykke, hvis behandlingen fx er nødvendig for arbejdsgiverens forfølgelse af en legitim interesse eller til opfyldelse af en kontrakt, som medarbejderen er part i. 

Medarbejderens kommunikation

Artikel 29-gruppen læggerogså vægt på, at indholdet af medarbejderens kommunikation bliver beskyttet, og at medarbejderens ret til privatliv skal respekteres. At arbejdsgiveren ejer det elektroniske medie, trumfer derfor ikke i alle tilfælde medarbejderens ret til hemmeligholdelse af sin kommunikation og lokalitetsdata. 

Cloud-løsninger, online applikationer og internationale overførsler
Gruppen sætter fokus på de risici, der kan være forbundet med anvendelse af nyere teknologi som cloud-løsninger. Når medarbejdere forventes at anvende onlineløsninger som cloud-løsninger, vil medarbejdernes brug ofte medføre, at der samtidig behandles personoplysninger. 

Når sådanne løsninger anvendes, mener Artikel 29-gruppen, at arbejdsgivere bør give medarbejdere mulighed for at oprette private rum, såsom privat en mailbox eller en dokumentmappe, som arbejdsgiveren ikke har adgang til. 

Brug af en cloud-løsning kan resultere i, at der sker en overførsel af personoplysninger til usikre tredjelande. Hvis dette er tilfældet, skal der sikres et tilstrækkeligt beskyttelsesniveau fx ved brug af BCR eller Kommissionens standardkontrakter.

Bech-Bruuns kommentarer
Udtalelsen er på mange punkter en genfremsætning af Artikel 29-gruppens hidtidige holdning til behandling af personoplysninger i ansættelsesforhold. Der har indtil nu udviklet sig ret forskellige nationale praksisser i de forskellige EU lande i relation til behandling af medarbejderoplysninger. Med forordningen og Artikel 29-gruppens udtalelse må vi forvente en mere ensrettet praksis fremadrettet.  Især Artikel 29-gruppens holdning til brug af samtykket i ansættelsesforhold kan få stor praktisk betydning for behandling af personoplysninger på danske arbejdspladser. 

Helt generelt vil forordningen indebære, at arbejdsgivere, herunder HR-afdelinger i danske virksomheder, skal have et helt andet fokus på personoplysninger samt konsekvenserne af behandlingen samt sikkerheden ved den anvendte eller påtænkte anvendte teknologi, end de hidtil har haft. Bech-Bruun følger nøje udviklingen på dette område.

Læs udtalelsen her.

DPO-uddannelsen 
Du kan også læse mere om vores DPO-uddannelse her. Uddannelsen afholdes til efteråret og klæder virksomheder på til at implementere den nye persondataforordning og blive rustet til at varetage og håndtere de nye krav i praksis.

Emneord
  • København

    Langelinie Allé 35
    2100 København Ø

  • Aarhus

    Værkmestergade 2
    8000 Aarhus C

  • Shanghai, repræsentationskontor

    No.1440 Yan'an Middle Road, Suite 2H08
    Jing'an District, 200040 Shanghai

  • Bech-Bruun Advokatpartnerselskab

    T +45 72270000
    F +45 72270027
    E info@bechbruun.com
    CVR-nummer 38 53 80 71
    Cookie-politik
    Legal Notice and Disclaimer
    Privatlivspolitik